Hackers norcoreanos lanzan malware NimDoor para macOS mediante falsas actualizaciones de Zoom

Un nuevo informe de SentinelLabs, publicado el 2 de julio de 2025, revela una sofisticada campaña de ciberataques dirigida a empresas de Web3 y criptomonedas . Agentes de amenazas aliados con Corea del Norte están explotando agresivamente los sistemas macOS con un malware recién descubierto llamado NimDoor, utilizando ataques complejos de varias etapas y comunicaciones cifradas para pasar desapercibidos.

La investigación, escrita por Phil Stokes y Raffaele Sabato y compartida con Hackread.com, destaca la transición de los atacantes hacia lenguajes de programación multiplataforma menos comunes, como Nim. Este cambio dificulta la detección y el análisis de sus actividades maliciosas.

El grupo también utiliza AppleScript de forma inteligente, no solo para la brecha inicial, sino también como puertas traseras sencillas y difíciles de detectar. Sus métodos muestran una clara mejora en su ocultación y persistencia, incluyendo el uso de comunicación WebSocket (WSS) cifrada y métodos inusuales para mantener el acceso incluso después de que el malware supuestamente se haya desactivado.

Los ataques comienzan con un truco de ingeniería social conocido: los hackers se hacen pasar por contactos de confianza en plataformas como Telegram e invitan a sus víctimas a reuniones falsas de Zoom . Envían correos electrónicos con un script malicioso de actualización del SDK de Zoom, diseñado para parecer legítimo, pero que en realidad está camuflado con miles de líneas de código oculto. Este script descarga programas más dañinos de sitios web controlados por los atacantes, que suelen usar nombres similares a los dominios reales de Zoom para engañar a los usuarios.

Una vez dentro, el proceso de infección se vuelve multicapa. Los hackers implementan varias herramientas, incluyendo un programa en C++ que inyecta código malicioso en procesos legítimos, una técnica poco común en el malware de macOS. Esto les permite robar datos confidenciales como información del navegador, contraseñas de Keychain, historial de shell y historial de chats de Telegram.

Según la entrada del blog de SentinelLabs, también instalan el malware 'NimDoor', compilado por Nim, que permite el acceso a largo plazo. Este incluye un componente llamado "Google LLC" (nótese la engañosa "i" mayúscula en lugar de la "L" minúscula), que facilita la integración del malware. Curiosamente, el malware incluye una función única que activa sus componentes principales y garantiza el acceso continuo si el usuario intenta cerrarlo o si el sistema se reinicia.

El análisis de SentinelLabs muestra que estos actores alineados con Corea del Norte desarrollan constantemente nuevas formas de eludir la seguridad. Su uso de Nim, un lenguaje que les permite integrar comportamientos complejos en programas compilados, dificulta que los expertos en seguridad comprendan el funcionamiento del malware. Además, usar AppleScript para tareas sencillas, como el acceso regular a sus servidores, les ayuda a evitar el uso de herramientas de hacking más tradicionales y fácilmente detectables.

El informe continúa mostrando la importancia de que las empresas refuercen sus defensas ante la constante evolución de estas amenazas. A medida que los hackers prueban nuevos lenguajes de programación y tácticas más avanzadas, los investigadores en ciberseguridad necesitan actualizar su forma de detectar y detener estos ataques. SentinelLabs los resume denominándolos "ataques inevitables" para los que todos deberíamos estar preparados.